窃密木马 Vidar 通过 Google 的恶意广告传播

最新推荐文章于 2024-11-01 19:34:29 发布
最新推荐文章于 2024-11-01 19:34:29 发布
阅读量297 收藏 1
点赞数
文章标签: notepad++ web安全 网络安全 安全 php
原文链接:https://www.freebuf.com/articles/network/357374.html
版权

最近,安全研究员注意到通过谷歌上的恶意广告进行传播的攻击有所增加,这些攻击旨在部署信息窃密程序。当在谷歌上检索 Notepad++、Zoom、AnyDesk、Foxit、Photoshop 等流行工具时,就有可能遇到恶意广告。

攻击活动

2023 年 1 月 25 日,DarkTrace 的研究人员发现在美国境内搜索 Notepad++ 时,谷歌显示了如下的广告:

image.png-27.3kB搜索结果

下图可以看到,该广告没有关于发布者的可见信息:

image.png-91.9kB广告信息

点击广告后会跳转至虚假网站,该域名(notepadplusplus.site)于 1 月 4 日注册,选择需要的软件版本后即可下载:

image.png-132.6kB恶意网站

image.png-163kB点击下载

无论选择下载什么版本的软件,都会从 https://download-notepad-plus-plus.duckdns.org/ 下载名为 npp.Installer.x64.zip 的 .zip 文件。

image.png-204.8kB流量重定向

该文件多达 684.1MB,其中有大量空字节。以此防止文件被上传到分析平台,例如 VirusTotal 的最大文件限制为 650MB。

image.png-158.4kB压缩文件

最初填充的零字节位于末尾,但该文件位于文件的中心。

image.png-359.4kB空字节填充

image.png-487.7kB空字节填充

执行后,恶意软件立即建立与 Telegram 的连接来获取 C&C 服务器的地址。如果 Telegram 不可用,将会尝试连接到 Steam 上的配置文件。下载 get.zip 文件,该压缩包中包含多个合法 DLL 文件,用于从各种应用程序和浏览器宏提取各种信息。

image.png-411.4kBTelegram 流量

image.png-98.5kBTelegram 中的 C&C 地址

image.png-339.1kBSteam 中的 C&C 地址

image.png-99kBVidar 的 C&C 流量

image.png-27.8kB流量中的配置文件

image.png-55.6kB包含的库文件

同类攻击

分发恶意软件的域名 download-notepad-plus-plus.duckdns.org 解析的 IP 地址,通过 Passive DNS 可以发现多个域名也解析到该 IP 地址。攻击者利用许多广告发起了针对性的攻击,例如:

OBS Studio

Davinci Resolve

Sqlite

Rufus

Krita

发现的所有样本都连接到相同的 Telegram 频道,共享 C&C 服务器地址。

结论

网络犯罪分子越来越愿意利用恶意广告来传播恶意软件,由于恶意广告更加难以防范。建议在搜索引擎上检索软件时尽量不要点击任何广告,只在官方来源进行下载。

在这里插入图片描述

小黑安全
关注
“魔盗”窃密木马(FakeCDR)研究
不忘初心,护天下安全!
09-18 1682
近期,客户被通报存在FakeCDR恶意事件,该病毒家族在互联网上知之甚少,在此进行说明。2022年8月初,CNCER监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万.
流行窃密木马盘点
wangluoanquan111的博客
07-31 493
窃密木马是用于窃取用户系统中敏感数据的恶意执行体。攻击者常通过网络钓鱼、漏洞利用、软件捆绑等方式投放窃密木马,并利用窃取到的重要数据进行牟利。当用户系统感染窃密木马后,根据攻击者的预先设定,窃密木马会在受感染系统中实施隐藏、驻留、探测、搜集、传输、监听等行为,从而将敏感数据按照攻击者的需求进行传输,最终给用户造成收入损失、声誉损害等严重后果。目前,窃密木马攻击者已构建了完整的窃密产业链,包含开发、分析对抗、销售、攻击等多个环节,形成了明确的内部分工体系和获利模式。
揭穿病毒和木马的隐藏手段
HIT_ZOE的博客
09-18 5480
病毒和木马的隐藏手段   一. 无处可寻的病毒   曾经有一个朋友在一家公司担任计算机维护员的工作,有天主任把他找去维修一台出现异常的计算机,这台计算机上什么程序都未运行,可是机内安装的卡巴斯基杀毒软件却在不停的提示在系统目录发现特洛伊木马程序,而后自动进行查杀,可是刚查杀完毕就又跳出了同样的提示,一旦断开网络连接,这个现象立刻终止,再连接网络,立即再次提示发现特洛伊木马程序……如此反复循
Vidar和GandCrab:信息窃取病毒和勒索软件的强强联手
weixin_33805743的博客
01-10 158
网络安全公司Malwarebytes在上周五(1月4日)发表的一篇博文中指出,在过去的几周里,他们一直在追踪一起多产的恶意广告活动,并捕获了多种payload(有效载荷),包括几个信息窃取病毒。其中,最初被他们确认为“Arkei”的信息窃取病毒在最近被证实其实是“Vidar”,这得益于安全研究员“Fumik0_”在一篇题为《Let’s dig into Vidar – An...
ObserverStealer 窃密木马分析及拓线
白帽子佳奇的博客
06-18 786
我们这次通过分析Stealer偷窃者类木马的行为特征,结合FOFA和any.run,去探寻他们背后的更多资产和特征。这个木马其主要表现为进行类似认证的外部访问操作,加载外部服务器挂载的DLL执行,以及持续向外联地址POST发送txt和image文件,并伴有一些远控行为。通过对病毒样本的分析,我们发现了三种不同的攻击行为方式,确认了存在多个组织在进行此类活动的结论。并且通过FOFA拓线发现并确认了该组织的服务器以及C2服务器。
通过邮件大规模传播窃密木马的事件分析
Fly_鹏程万里
09-06 1991
近期,兰云科技银河实验室近期通过“兰眼下一代威胁感知系统”发现一大批通过恶意邮件进行传播的PasswordStealer木马木马采用.net 编写,传播初期可以绕开绝大多数传统杀毒软件的检测,危害极大。该木马可以窃取包括浏览器、邮件客户端、FTP等软件的密码,传播多采用CVE-2017-11882和宏进行传播,最终将窃取的密码上传到指定的邮箱中。 1.传播分析 通过一段时间的监控发现,该...
通过视频网站传播的RecordBreaker窃密木马分析
2401_84488651的博客
06-19 849
近期,安天CERT监测到通过视频网站进行传播攻击活动。攻击者窃取订阅者数量超过10万的视频创作者账号,发布与破解版热门软件相关的演示视频,诱导受害者下载RecordBreaker窃密木马。RecordBreaker窃密木马是Raccoon窃密木马的2.0版本,该窃密木马从C2服务器接收配置信息,根据配置信息中的内容窃取相应的敏感信息,并根据其中的URL下载载荷文件,最终投递Laplas Clipper木马和一个挖矿木马
窃密恶意软件通过仿冒盗版软件下载网站进行传播
qq_69775412的博客
09-02 1144
自从 Napster 在互联网上发布盗版已经有二十余年,海盗湾种子下载站出现也近十年。尽管许多国家都针对此发布了相关的法律与禁令,但是盗版依旧屡禁不止,许多人都会下载与使用。互联网上也有很多宣传破解软件的的广告,出现在 Google 的搜索结果与网站的广告位中。Google 搜索结果中的仿冒盗版下载网站安全研究人员最近发现了通过仿冒盗版软件下载网站进行恶意软件传播攻击行动。如上所示,Google 的搜索结果中就包含此类虚假网站,这些网站看起来与真正的盗版下载网站差不多。
自适应网络窃密木马检测模型:增量学习与支持向量机的应用
研究者首先关注了网络数据流和窃密木马通信数据流的特性分析,这些数据流是判断恶意行为的关键指标,它们包含了木马活动的独特模式。 论文采用了支持向量机(SVM)作为分类算法的基础,SVM以其在高维空间中的优秀...
自修室预约系统|基于java和小程序的自修室预约系统设计与实现(源码+数据库+文档)
伟庭的博客
10-28 1325
本基于微信小程序的自修室预约系统有管理员和学生两个角色。管理员功能有个人中心,学生管理,公告通知管理,自修室管理,座位预约管理,预约取消管理,管理员管理,系统管理等。学生角色有,查看公告通知,查看自修室,预约和取消自修室等功能。因而具有一定的实用性。本站后台采用Java的SSM框架进行后台管理开发,可以在浏览器上登录进行后台数据方面的管理,MySQL作为本地数据库,微信小程序用到了微信开发者工具,充分保证系统的稳定性。
Notepad++添加到右键菜单【一招实现】
最新发布
小鱼的博客
11-01 232
Notepad++添加到右键菜单【一招实现】
javascript实现md5算法(支持微信小程序),可分多次计算
shenweihong的博客
11-01 103
本人前端需要实现md5计算的功能,最好是能做到分多次计算。本文所写的代码在现有md5的C++代码,反复测试对比计算过程参数,成功改造成md5的javascript代码,并成功验证好分多次计算md5数据。
notepad++ compare插件的离线下载和安装
原来也有北瓜
10-31 246
(1)安装之后,依然看不到插件,这有可能是不兼容导致的,需要下载对应的版本的插件。
Notepad++如何同时检索多个关键字
Solititude的博客
10-28 746
Notepad++如何同时检索多个关键字
强大的文本编辑器Notepad++8.4.6 最新版
weixin_44764383的博客
10-28 575
Notepad++官方版支持27种编程语言,涵盖C、C++ 、Java 、C#,、XML、 HTML,、PHP、python等等,能够帮助程序员提高编辑效率。1、内置支持多达 27 种语法高亮度显示(包括各种常见的源代码、脚本,能够很好地支持 .nfo 文件查看),还支持自定义语言;2、可自动检测文件类型,根据关键字显示节点,节点可自由折叠/打开,还可显示缩进引导线,代码显示得很有层次感;1、下载Notepad++最新版安装包,解压后,双击exe程序,进入安装向导,[名称]:Notepad++
微信小程序海报
liangshanbo1215的博客
11-01 136
3、Skyline 渲染默认使用Flex布局,flex-direction 默认是 column;2、PC端的小程序开发者工具目前只支持 webview 渲染,不支持 Skyline 渲染;3、在 wxml 文件中使用 snapshot 组件包裹要生成海报的 view。记录一下微信小程序使用 Skyline 渲染引擎生成页面海报的流程。1、如果页面使用了第三方组件库会出现样式错乱问题;5、海报图片保存到本地。
Notepad++检索包含多个关键字的行
Solititude的博客
10-28 441
Notepad++检索包含多个关键字的行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值